Kuzey Koreli BT Çalışanları Tespitten Kaçmak İçin Sahte Siteler Kullanıyor

SentinelOne’ın tehdit istihbaratı kolu SentinelLabs, Batı yaptırımlarından kaçmak için sahte BT hizmetleri ve danışmanlık web siteleri kurmak amacıyla Çin, Rusya, Güneydoğu Asya ve Afrika merkezli paravan şirketlerin arkasına saklanan Kuzey Koreli bireyleri buldu.

ABD kolluk kuvvetlerinin 10 Ekim’de çökerttiği bu web siteleri, ABD ve Hindistan merkezli yazılım ve bilgi teknolojisi hizmet sağlayıcılarının sitelerini yansıtıyordu; kolluk kuvvetleri tarafından tespit edilmekten kaçınmak ve işçilere yardımcı olmak için gerçek konumlarını ve sorumlu kişileri saklıyordu. güven kazanın, hassas sözleşmelere erişin ve Kuzey Kore için para kazanın.

SentinelLabs, incelemesi sırasında sitelerin ortak bir InterServer barındırma altyapısı, ortak operatörler ve Çin’de kayıtlı paravan şirketlerden oluşan bir ağ aracılığıyla birbirine bağlandığını öğrenerek odağını dört sahte web sitesine daralttı.

Kuzey Kore tarafından işletilen gölge teknolojisi web sitelerinin yakın zamanda yayından kaldırılması, Ekim 2023’te ABD’deki kolluk kuvvetlerinin ABD merkezli meşru BT hizmetleri şirketlerinin etki alanlarını taklit eden, Kuzey Kore tarafından işletilen 17 web sitesi alan adını çökerttiği benzer eylemin ardından geldi. Adalet Bakanlığı, Kuzey Koreli BT çalışanlarının bu web sitelerini “ABD ve dünya çapındaki diğer işletmeler için uzaktan çalışma yapmak üzere çevrimiçi başvuru yaparken gerçek kimliklerini ve konumlarını gizlemek” amacıyla kullandığını söyledi.

SentinelLabs araştırmacıları, 10 Ekim’de kapatılan web sitelerinin çoğunun Çin’de kayıtlı olduğunu ancak araştırmacıların Kuzey Kore devletiyle derin bağları bir araya getirebilecek kadar yeterli bilgi içerdiğini ortaya çıkardı.

Shenyang Tonywang Technology Ltd, sahte alan adı tonywangtech’in sahibi[.]com, web sitesi Noida, Hindistan’da bulunan TatvaSoft yazılım firmasının içeriğini ve logolarını kopyalayan Shenyang Huguo Technology ile Shenyang Şehri Tawan Caddesi’ndeki aynı binada kayıtlıydı.

Araştırmacılar ayrıca sahte alan adlarından bazılarının Tony Wang adlı bir kişiyle ilişkili olduğunu da buldu. Etki alanı Noida merkezli ArohaTech IT Services’ın kopyası olan Tony WKJ LLC IT Services, kendisini bir ABD şirketi olarak markalaştırdı ve yasal ITechArt firmasından içerik kopyalayan özel bir yazılım geliştirme şirketi olan HopanaTech ile bağlantılarını paylaştı. HopanaTech, iletişim kişisi olarak Wang Kejia’yı kullandı ancak iletişim formunda Tonywkj@Hopana e-posta adresini kullandı.

Benzer şekilde, HopanaTech’in irtibat kişisi Tong Yuze aynı zamanda Beijing Xiwang Technology Company’nin kurumsal tescil sahibiydi. Yuze’ye daha yakından bakıldığında, onun Çin’deki en az iki işletmenin kurumsal tescil sahibi olduğu ortaya çıktı. SentinelLabs, “Onun işletme koleksiyonunun yasadışı olanları korumaya hizmet edebileceğini varsayıyoruz” dedi.

Firma, “Araştırmamız yalnızca Kuzey Kore BT çalışanlarının kullandığı aldatıcı taktikleri açığa çıkarmakla kalmıyor, aynı zamanda bu çabaları Çin menşeli paravan şirketlerin daha geniş, aktif bir ağına da bağlıyor” dedi. “Bu bağlantı, Kuzey Kore’nin mali planlarının ölçeğini ve karmaşıklığını ve sektörler arasında dikkatli olmanın önemini vurguluyor.”

ABD Adalet Bakanlığı Mayıs ayında, Kuzey Koreli BT çalışanlarının, ABD vatandaşlarının ödünç alınmış veya çalınmış kimliklerini kullanarak ev işçisi kılığına girerek 300’den fazla ABD kuruluşuna sızdığını söyledi.

Özel olarak eğitilmiş BT çalışanları, büyük kuruluşlarla sözleşmeler ve roller kazanmak ve bunun sonucunda milyonlar kazanmak için ABD ödeme platformları ve şantiyelerinde hesaplar açtılar ve ABD’de bulunan proxy bilgisayarları kullandılar.

“Denizaşırı BT çalışanları, aralarında en büyük beş televizyon ağı, bir Silikon Vadisi teknoloji şirketi, bir havacılık üreticisi, bir Amerikan otomobil üreticisi, bir lüks perakende mağazası ve ABD’ye özgü bir medya ve eğlence şirketinin de bulunduğu ABD şirketlerinde iş buldu. , bunların hepsi Fortune 500 şirketleriydi” dedi departman.